Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist dein zentrales Arbeitsdokument, um auf einen Blick zu sehen, welche Daten verarbeitet werden. Hier bekommst Du wertvolle Hinweise zum Aufbau und wie das VVT sinnvoll zum Übersichtsdokument für alle datenschutzrelevanten Verarbeitungsschritte erweitert werden kann.
Durch die Datenschutz-Grundverordnung (DSGVO) besteht eine Verpflichtung zur Erstellung einer solchen Übersicht, in der protokolliert wird, in welchem Zusammenhang mit personenbezogenen Daten gearbeitet wird.
Pflicht zur Erstellung durch Verantwortliche
Das VVT hilft dir, einen Überblick zu bekommen, welche personenbezogene Daten in der Organisation verarbeitet werden. Die Pflicht zur Erstellung trifft dich dann, wenn du allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidest. Du bist dann Verantworliche:r einer Datenverarbeitung.
Das VVT muss erstellt werden:
- wenn mindestens 250 Mitarbeiter beschäftigt werden oder
- die Verarbeitung mit einem Risiko für Betroffenenrechte verbunden ist oder
- eine regelmäßige Verarbeitung stattfindet oder
- besondere Datenkategorien (z. B. Gesundheitsdaten) verarbeitet werden
Wenn ihr z. B. regelmäßig Nutzer:innen-Feedbacks verarbeitet oder einen Newsletter versendet, müsst ihr ein VVT erstellen. Solltet ihr einen Verein gründen und Mitgliederdaten verarbeiten, dann müsst ihr ebenfalls ein VVT erstellen.
Das VVT ist nicht öffentlich
Das VVT dient zum einen der internen Dokumentation und Qualitätskontrolle und zum anderen wird gegenüber der Aufsichtsbehörde der rechtmäßige Umgang mit personenbezogenen Daten nachgewiesen. Das VVT ist nicht öffentlich und Betroffene haben kein Recht auf Einsicht in das Verzeichnis. Nur der Datenschutzbehörde ist auf Anfrage das VVT zur Verfügung zu stellen, damit sie sich ein Bild von den Verarbeitungstätigkeiten der Organisation verschaffen kann.
Form und Inhalt des VVT
Das Verzeichnis ist im schriftlichen oder elektronischen Format zu führen. Im Verzeichnis müssen mindestens die gesetzlich durch die DSGVO genannten Bestandteile enthalten sein. Sie lauten:
(1) Namen und Kontaktdaten des/der Verantwortlichen (und dessen/deren Vertreters) sowie eines etwaigen Datenschutzbeauftragten,
(2) die Zwecke der Verarbeitung,
(3) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
(4) die Kategorien von Empfängern von Daten, einschließlich Empfänger in Drittländern oder internationalen Organisationen,
(5) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation,
(6) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien und
(7) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Umsetzung des Datenschutzes.
Eine Mustervorlage für ein Verzeichnis von Verarbeitungstätigkeiten findet ihr auf den Seiten der Datenschutzaufsicht der einzelnen Bundesländer. Zu empfehlen ist die Seite des Bayerischen Landesamtes für Datenschutzaufsicht.
Das VVT muss stets aktuell gehalten werden. Um auch diese Aktualisierung der Aufsichtsbehörde nachweisen zu können, empfiehlt es sich, die Änderungen so zu gestalten, dass sie für mindestens ein Jahr rückwirkend nachverfolgt werden können.
Erweitertes Verzeichnis
Der oben geschilderte Mindestinhalt kann und sollte durch zusätzliche Informationen ergänzt werden. Denn ihr als Unternehmer/in müsst ja der Datenschutzbehörde die Erfüllung des Datenschutzes nachweisen können (siehe zur Rechenschaftspflicht in https://gumbrecht.org/anwendungsbereich-und-begriffe-der-datenschutz-grundverordnung/). Und das kann eher gelingen, wenn folgende Ergänzungen vorgenommen werden:
- Beschreibung der konkreten Verarbeitungstätigkeiten (Erheben, Speichern, Abfragen, Verwenden, Offenlegen etc.)
- Angabe der dafür herangezogenen Rechtsgrundlagen wie z.B. Einwilligung, Vertrag, gesetzliche Pflicht etc.
Zusammenfassend ist festzuhalten, dass das VVT das zentrale Dokument für euch ist, um schnell einen genaueren Überblick über eure Verarbeitungstätigkeiten, die Rechtmäßigkeit und die Verantwortlichkeiten innerhalb eurer Unternehmung zu gewinnen. Gute Vorlagen für ein VVT, samt Beispielen für einzelne Unternehmenszweige, finden sich auf der Website des Bayerischen Landesamts für Datenschutzaufsicht (unter https://www.lda.bayern.de/de/index.html).
Und hier geht es weiter zur “Auftragsverarbeitung”: https://gumbrecht.org/sichere-dich-ab-wenn-du-daten-im-auftrag-verarbeiten-laesst/
